Cómo recuperarse rápidamente de un ataque de ransomware

Los ataques de ransomware deben considerarse de la misma forma en que se perciben los cortes de energía o los desastres naturales. Recuperarse rápidamente es una necesidad. En fechas recientes, muchos proveedores en la industria de protección de datos han estado promocionando funciones de inmutabilidad y detección de ransomware. Ambas funciones deberían ser parte de la estrategia de protección ante ransomware de toda empresa, pero una copia inmutable de cinta o disco giratorio puede traducirse en demasiado tiempo de inactividad para el negocio. Es una decisión fácil para un CEO o CFO si el rescate demandado por un atacante es de $100,000 y el costo del tiempo de inactividad por día es de $500,000. La única pregunta en ese momento es cómo se crea una cuenta de Coinbase para transferir Bitcoin.

Además, lo más probable es que las empresas ya cuenten con herramientas de detección y prevención de ransomware. En realidad, si su software de backup es lo que está detectando el ransomware de un backup realizado hace días o incluso semanas, el costo de la pérdida de datos podría ser demasiado alto para restaurarlo de todos modos. No quiere decir que las funcionalidades de inmutabilidad detección no sean características excelentes. Veeam se toma en serio esas características, pero la prioridad máxima para la empresa debe ser la capacidad de recuperarse rápidamente en caso de un desastre de ransomware.

Sin más preámbulos, a continuación se detallan las funcionalidades de recuperación de Veeam que pueden proporcionar RTO rápidos para brindar a las empresas una oportunidad realista de evitar el pago de rescates.

Réplica desde backup : VM replicadas desde los backups, lo que permite simplificar el trabajo a producción

Recuperación desde snapshot de almacenamiento : restauración rápida de archivos o VM a partir de snapshot de almacenamiento

Recuperación desde repositorio de ejecución rápida : backup al medio de ejecución rápida

Funcionalidades de failover/failback : funcionalidades de DR tradicionales en la misma interfaz de usuario y licencia

Réplica desde backup

Réplica desde backup es una de las características más subestimadas que ofrece Veeam. La belleza de la réplica desde backup es que crea una VM en el sitio de recuperación ante desastres fuera del repositorio de backup que está lista para ejecutar failover en caso de un desastre. Es decir, crea una réplica sin poner ninguna carga en la VM de producción. Lo más probable es que los RPO sean de ~ 24 horas provenientes de una fuente de backup, pero aumenta significativamente sus RTO ya que las VM en DR solo necesitan estar encendidas en su mayor parte. Como nota al margen, ¡también puede hacer esto fuera del trabajo de backup.

Para profundizar un poco más en este procedimiento, solo asegúrese de seleccionar “origen” al elegir sus máquinas virtuales para el trabajo de replicación. Como puede ver a continuación, tiene la opción de replicar desde backups en lugar del almacenamiento de producción.

Por último, puede ver cómo esto logra RTO increíblemente rápidos ya que la VM ya está creada y lista para funcionar. Todo lo que tiene que hacer es ejecutar failover en caso de desastre y la VM se encenderá.

Recuperación desde snapshot de matriz de almacenamiento

Otra característica infravalorada que ofrece Veeam es la recuperación desde snapshot de matriz de almacenamiento (Pure, NetApp, EMC, HPE y muchas más), ya sea que Veeam las orqueste o no. Algo que sorprende continuamente a los clientes cuando les muestro esta función es cómo Veeam puede actuar como un catálogo para snapshot que ni siquiera tomó y proporcionar una vista de árbol en Array > LUN > Snapshot > VM, como se muestra a continuación.

En el caso de una Instant VM Recovery, puede ver cómo clona la snapshot y la monta en el host ESXi, de modo que esté lista para su uso inmediato.

Por último, en caso de que haya escépticos que piensen que se trata de maquetas, a continuación se muestra la VM restaurada en vSphere lista para iniciar sesión.

Recuperación desde un repositorio de backup de ejecución rápida

Una de las mayores ventajas de Veeam es que es solo software. No hay dependencia del proveedor o plataforma de hardware obligatoria que deba usarse. Ahora, yo no esperaría que una empresa hiciera un backup de todas sus cargas de trabajo en un repositorio basado en flash, pero no es poco común proteger las cargas de trabajo de Nivel 0 o Nivel 1 (5-10 %) del entorno en un repositorio que puede lograr RTO a través de Instant VM Recovery. Según mi experiencia, veo usuarios de Veeam que aplican esta estrategia y backup a EMC Unity, Pure Flash Array C, HPE Nimble y muchas otras ofertas similares en el mercado. Como nota al margen, también puede restaurar instantáneamente máquinas físicas a VMware, lo que brinda una excelente alternativa a la recuperación completa.

Failover y failback con replicación basada en snapshot o cdp

La funcionalidad más conocida por la que Veeam es famoso es la replicación tradicional basada en snapshot o la protección de datos continua (CDP) para SLA que exigen RPO de segundo tipo. Ya hay mucho contenido excelente sobre este tema, así que no existe la necesidad de “inventar el hilo negro” en este momento. El objetivo aquí es resaltar que, para aquellas cargas de trabajo que no solo requieren RTO rápidos sino también RPO bajos, se ofrecen CDP y replicación basada en snapshot en la misma interfaz de usuario y licencia. No hay costos adicionales ni gastos generales de gestión.

En resumen, el dilema del que nadie quiere hablar cuando se elaboran estrategias con empresas sobre un plan de recuperación de ransomware efectivo es que no es barato. Debe verse de la misma manera que un corte de energía del centro de datos o un desastre natural. Ante los ojos de las personas que ganan mucho dinero, la restauración desde una cinta o un disco giratorio puede no valer la pena por el tiempo de inactividad que conlleva, en comparación con solo pagar el rescate. A veces, una estrategia ante ransomware más efectiva significa tener un poco más de poder de cómputo para las replicaciones y un almacenamiento de ejecución más rápido para los backup, con el fin de evitar pagar un rescate o lidiar con problemas de marca/reputación posteriores al ataque.

 

Exit mobile version